AI Act 2026: Was der EU AI Act für die Cybersecurity bedeutet

3 Min. Lesezeit

Der EU AI Act ist seit August 2024 in Kraft und entfaltet ab 2025 schrittweise Wirkung. Für IT-Security-Verantwortliche bringt die Verordnung neue Pflichten – aber auch Chancen. Ein Überblick über die sicherheitsrelevanten Anforderungen.

Das Wichtigste in Kürze

• Stufenweise Geltung: Verbote seit Februar 2025, Hochrisiko-Regeln ab August 2026.
• Risikokategorien: KI-Systeme werden in vier Stufen eingeteilt – von minimal bis unakzeptabel.
• Security by Design: Hochrisiko-KI muss Cybersecurity-Anforderungen erfüllen – Robustheit, Integrität, Vertraulichkeit.
• KI als Angriffswerkzeug: Deepfakes, KI-Phishing und automatisierte Exploits sind reale Bedrohungen.
• KI als Verteidiger: KI-gestützte Erkennung, automatisierte Incident Response und Threat Intelligence gewinnen an Bedeutung.

Die vier Risikokategorien des AI Act

Unakzeptables Risiko (verboten): Social Scoring, Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen), manipulative KI-Systeme, Emotionserkennung am Arbeitsplatz.

Hohes Risiko: KI in kritischer Infrastruktur, Beschäftigung, Strafverfolgung, Migration. Diese Systeme unterliegen strengen Auflagen: Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht und Cybersecurity.

Begrenztes Risiko: Transparenzpflichten – etwa Kennzeichnung von Chatbots und KI-generierten Inhalten wie Deepfakes.

Minimales Risiko: Keine besonderen Auflagen – etwa Spam-Filter oder KI in Videospielen.

Cybersecurity-Anforderungen für Hochrisiko-KI

Artikel 15 des AI Act fordert explizit Resilienz gegen Cyberangriffe. Hochrisiko-KI-Systeme müssen robust sein gegen Adversarial Attacks (manipulierte Eingabedaten), Data Poisoning (vergiftete Trainingsdaten), Model Extraction (Diebstahl des KI-Modells) und Prompt Injection (Manipulation von LLM-Anweisungen).

Unternehmen, die Hochrisiko-KI entwickeln oder einsetzen, müssen ein Cybersecurity-Konzept nachweisen. Das umfasst Zugriffskontrollen, Logging, Integritätsprüfungen und regelmäßige Sicherheitstests.

KI als Waffe: Die Bedrohungslage

Cyberkriminelle nutzen KI bereits massiv. Deepfake-basierter CEO Fraud hat 2024 mehrere Millionen-Schäden verursacht. KI-generierte Phishing-Mails sind sprachlich fehlerfrei und personalisiert. Automatisierte Exploit-Generierung beschleunigt Angriffe auf bekannte Schwachstellen. Voice Cloning untergräbt telefonische Authentifizierung.

Der CrowdStrike Global Threat Report 2025 zeigt: Vishing stieg KI-gestützt um 442 Prozent, malware-freie Angriffe machen 79 Prozent aus. KI senkt die Einstiegshürde für Cyberkriminalität erheblich.

KI als Verteidiger: Chancen für Security-Teams

Gleichzeitig revolutioniert KI die Cyberabwehr. SOC-Analysten werden durch KI-gestützte Triage entlastet – automatische Priorisierung von Alerts reduziert False Positives. Threat Intelligence wird in Echtzeit analysiert und korreliert. Anomalie-Erkennung identifiziert bisher unbekannte Angriffsmuster. Automatisierte Incident Response verkürzt die Reaktionszeit von Stunden auf Minuten.

Key Facts auf einen Blick

In Kraft: 1. August 2024

Verbote wirksam: Februar 2025

Hochrisiko-Regeln: August 2026

Bußgelder: Bis 35 Mio. € oder 7% des Jahresumsatzes

Cybersecurity: Art. 15 – Resilienz gegen Adversarial Attacks, Data Poisoning, Model Extraction

Transparenz: Kennzeichnungspflicht für Deepfakes und KI-generierte Inhalte

Fakt: Laut einer PwC-Studie setzen bereits 72 Prozent der europäischen Unternehmen KI-Tools in der IT-Sicherheit ein – oft ohne klare Governance.

Fakt: Bei Verstößen gegen den EU AI Act drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Häufige Fragen

Was ist der EU AI Act?

Die weltweit erste umfassende KI-Regulierung. Sie stuft KI-Systeme nach Risiko ein und definiert Pflichten für Anbieter und Betreiber – von Dokumentation über Cybersecurity bis hin zu menschlicher Aufsicht.

Welche KI-Systeme sind für Security-Teams relevant?

KI in kritischer Infrastruktur, Zugangskontrolle, Netzwerküberwachung und automatisierter Bedrohungserkennung fällt potenziell unter die Hochrisiko-Kategorie. Auch SIEM-Systeme mit KI-Komponenten sollten geprüft werden.

Wie schützt man KI-Systeme gegen Adversarial Attacks?

Durch robustes Training mit diversen Datensätzen, Input-Validierung, Anomalie-Erkennung auf Eingabedaten, regelmäßiges Red Teaming und die Implementierung von Guardrails und Content-Filtern.

Was bedeutet der AI Act für bestehende Security-Tools?

Viele KI-basierte Security-Tools (EDR, SIEM, SOAR) fallen unter minimales oder begrenztes Risiko. Aber: KI-Systeme, die in KRITIS eingesetzt werden oder automatisierte Entscheidungen über Zugang treffen, könnten als Hochrisiko eingestuft werden.

Wie hängen AI Act und NIS2 zusammen?

Beide Regulierungen ergänzen sich. NIS2 fordert allgemeines Cybersecurity-Risikomanagement, der AI Act spezifische Sicherheitsmaßnahmen für KI-Systeme. Unternehmen, die beides erfüllen müssen, sollten die Anforderungen integriert umsetzen.

Weitere Artikel zum Thema

→ NIS2-Checkliste 2026: Was Unternehmen jetzt umsetzen müssen

→ DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen

→ KI-generierte Phishing-Mails erkennen: 7 Warnsignale für 2026

Weiterführende Lektüre im Netzwerk

CrowdStrike Threat Report – KI-Bedrohungen: Cyberangriffe mit KI (Security Today)

NIS2-Checkliste: NIS2: Was jetzt zu tun ist (Security Today)

KI und Cloud-Infrastruktur: cloudmagazin.com

KI-Strategien für Entscheider: mybusinessfuture.com

Verwandte Artikel

• KI-generierte Phishing-Mails erkennen: 7 Warnsignale für 2026
• Der TEHTRIS Partner Summit 2025 in Paris
• Cyberangriffe mit und ohne KI werden immer aggressiver

Mehr aus dem MBF Media Netzwerk

cloudmagazin | MyBusinessFuture | Digital Chiefs

Quelle Titelbild: Pexels / Tara Winstead

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik